BRG-26182: фишинг AiTM обходит MFA и крадёт сессии Microsoft 365
Фишинг без malware: как операция BRG-26182 обходит MFA с помощью поддельной Cloudflare Turnstile
Специалисты Barricade Cyber Solutions раскрыли детали новой сложной фишинговой кампании, получившей идентификатор BRG-26182. Её ключевая особенность — способность обходить Multi-Factor Authentication (MFA) и похищать учётные данные Microsoft 365, а также сессионные cookies, не развёртывая на устройствах жертв вредоносное ПО (malware). Вся атака построена на цепочке перенаправлений, начинающейся со скомпрометированных легитимных сайтов, и умело мимикрирует под стандартные механизмы проверки трафика.
Точка входа: фальшивая «проверка на человека»
Первоначальный контакт жертвы с инфраструктурой злоумышленников происходит через поддельный шлюз, стилизованный под Cloudflare Turnstile. Этот шлюз размещается на взломанных легальных ресурсах, а переход на него обеспечивается через отравленные поисковые результаты или ссылки на общие документы. Пользователь видит привычный виджет проверки, не подозревая, что после его успешного прохождения запускается бесшовное перенаправление на основную фишинговую платформу.
Двухкомпонентная архитектура атаки
Операция BRG-26182 состоит из двух интегрированных этапов, что делает её одновременно гибкой и трудно обнаруживаемой.
Этап 1 — шлюз-приманка. Автономная страница использует настоящий виджет Cloudflare, чтобы выглядеть максимально достоверно как для пользователей, так и для автоматизированных сканеров. Как только жертва завершает проверку, встроенный JavaScript-код считывает данные из URL и скрытно направляет её на второй этап. Детали фишингового бэкенда остаются полностью скрытыми от поверхностного анализа.
Этап 2 — среда Adversary-in-the-Middle (AiTM). Прежде чем показать жертве фишинговую страницу, система включает мощный антианалитический фильтр. Он проверяет:
- движения мыши;
- токены, привязанные к IP-адресам и user agent;
- результаты вычислительных задач.
Такой многослойный контроль гарантирует, что до среды перехвата добираются только живые пользователи, а исследователи безопасности и автоматические сканеры отсеиваются.
Как происходит кража учётных данных
Прошедших проверку жертв встречает убедительная поддельная страница документа Adobe, которая предлагает выполнить вход в учётную запись Microsoft. Экран входа выглядит практически идентично легитимному, что многократно повышает эффективность сбора данных. Именно в этот момент в полную силу включается AiTM-функционал: украденные логины, пароли и токены MFA в реальном времени перенаправляются на настоящие серверы Microsoft, пока жертва вводит информацию. В результате злоумышленники получают полностью живую сессию, позволяющую обойти MFA без единого вредоносного файла на устройстве.
Важно отметить, что двухкомпонентная структура даёт атакующим высокую манёвренность. Поддельный шлюз «проверки на человека» можно оперативно заменить в случае блокировки, в то время как фишинговый бэкенд остаётся надёжно защищённым за ним.
Причастность и индикаторы компрометации
На данный момент Barricade Cyber Solutions не связывает операцию BRG-26182 ни с одной из известных киберпреступных группировок. Атрибуция остаётся неустановленной.
Для обнаружения подобных атак организациям рекомендуется сосредоточиться на следующих индикаторах:
- необычные входы в систему из новых географических локаций или нехарактерных автономных систем нумерации (ASN) вскоре после того, как пользователь столкнулся с перенаправлением на страницу «проверки»;
- аномальные правила почтового ящика (mailbox rules), созданные без ведома владельца — они могут указывать на попытки пересылки или удаления критически важных сообщений;
- сессионные токены, ассоциированные с несколькими IP-адресами или устройствами одновременно — признак того, что учётная запись используется злоумышленником параллельно с жертвой.
Мониторинг этих сигнатур в журналах событий позволит выявить скомпрометированные учётные записи на ранних стадиях и минимизировать ущерб от атаки, полностью построенной на социальной инженерии и перехвате сессий.
Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.
Ознакомиться подробнее с отчетом можно по ссылке.



